Задать вопрос
@3ton
linux

Что делать если на WEB сервере скомпрометирован root доступ?

Так уж волей случая получилось что начальство дало root пароль стороннему человеку.
С компанией у него нет никаких юридических обязательств.
На сервере есть приватная инфа третьих лиц.
Нет никаких намеков на не добропорядочность данного лица, но если отталкиваться от важности сохранения конфиденциальности данных - какие действия можно предпринять чтоб обезопасить себя от последствий данного посещения сервера???

На сервере есть виртуальные машины, есть много веб сервисов которые содержат десятки тысяч файлов на разных языках программирования, поэтому советом просто переустановить систему ничего не решится. Кроме того виртуалки имеют и свой прямой доступ извне.
  • Вопрос задан
  • 475 просмотров
Комментировать
Подписаться 1 Оценить Комментировать
Пригласить эксперта
Ответы на вопрос 4
@feanor7
Системный администратор
Все зависит от того для чего были выданы права, на какой срок и какие работы проводились.
Смените пароль для начала.
Можно предположить что сторонний человек мог что-то установить, сделать, логи вам подскажут что делалось в системе, если конечно их не потерли)))
Если начальство будет спрашивать, просто укажите на то что: 1.не вы передавали пароль 2.не было задачи протоколировать действия
Ну и избегайте подобного в дальнейшем.
Ответ написан
5 комментариев
5 комментариев
vvpoloskin
@vvpoloskin
Инженер связи
Вряд ли туда вкорячили какой-то руткит, для вас повод задуматься о расширенном логировании действий в cli, а также мониторинга всех попыток входа в систему.
Ответ написан
Комментировать
Комментировать
@pfg21
ex-турист
На будущее настроить бекап, хотя бы системных файлов, настроек и т.д. чтобы было с чем сравнивать. что изменилось, что нового внеслось.
бекап **пу прикрывает во многих случаях.

в твоем случае попробовать посмтореть какие файлы во всей системе менялись за последние **цать дней, прошедших с момента компрометирования рута. решениение не полноценное (все файлы системы я так понял валидировать вручную нереально), работа будет дебильней некуда, но хотя бы попытка.

Зато теперь есть всеуниверсальная отмазка.
Ответ написан
Комментировать
Комментировать
CityCat4
@CityCat4
Внимание! Изменился адрес почты!
Первым делом обязательно сменить пароль.
Потом изучить логи - если они есть :)
Потом оценить изменения в файлах за интервал времени между утечкой пароля и его сменой.
Если у виртуалок свои руты, то они скорее всего не скомпроментированы - надо очень здорово извернуться, чтобы изменить что-то в образе диска машины из хостовой машины.
А вот хостовую машину все равно придется переставлять. Хотя утечка, если она была - она уже произошла и далее человеческий фактор - что это был за человек, что были за данные, насколько ему было интересно их тырить и что он мог утянуть в первую очередь.
Ответ написан
1 комментарий
1 комментарий
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы
Вакансии с Хабр Карьеры
Программист C для Embedded Linux
Radiofid Санкт-Петербург
от 120 000 до 180 000 ₽
Linux Администратор DevOps
ИМАГ Москва
от 150 000 до 170 000 ₽
Системный администратор Linux (SysOps)
Sipuni
от 180 000 ₽
Ещё вакансии
Заказы с Хабр Фриланса
Разработать парсер и админку
19 апр. 2024, в 14:12
30000 руб./за проект
Создать логотип
19 апр. 2024, в 14:10
500 руб./за проект
Разработка дизайна мобильного приложения которое управляет вентиляцией
19 апр. 2024, в 14:01
70000 руб./за проект
Ещё заказы